Redémarrer sans avoir à déchiffrer les partitions LUKS?


12

Existe-t-il un moyen de kexecredémarrer un noyau en cours d'exécution sans avoir à déchiffrer un système de fichiers racine LUKS chiffré?

J'imagine que non, mais je ne sais pas s'il y a une solution de contournement à cela.


Vous pourriez être en mesure de créer un deuxième initramfs avec un fichier de clé incorporé qui est stocké sur le volume chiffré. Cela résoudrait au moins l'invite de mot de passe. Tout comme la première réponse maintenant que je l' ai lu correctement
tom

Réponses:


2

Si mon autre réponse ne répond pas pour une raison quelconque à vos besoins (par exemple parce que vous ne voulez pas de fichier de clés sur votre volume ou que votre fichier /bootn'est pas chiffré), je peux également recommander ce projet: https://github.com/flowztul/keyexec


0

Comme grub2 prend en charge le décryptage des volumes cryptés LUKS, je suppose que votre /bootpartition est également cryptée. Cela contrecarre également certaines attaques malfaisantes .

Si tel est le cas, vous pouvez avoir en toute sécurité une clé qui peut décrypter le volume à l'intérieur de vos initramfs. Désormais, lorsque kexec chargera vos initramfs dans ram, il pourra décrypter votre partition lors du chargement du nouveau noyau.

Parce que ce guide pour configurer un fichier de clés luks à l'intérieur des initramfs, qui résout également le problème d'avoir à entrer deux fois la phrase clé (d'abord dans grub, ensuite lors du chargement des initramfs).

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.